До недавнего времени мы без проблем использовали групповые управляемые учетные записи служб (gMSA) в нашей среде. Мы развернули несколько приложений в производственной среде, где gMSA были созданы около 60 дней назад, но еще не использовались. В атрибутах gMSA значение по умолчанию msDS-ManagedPasswordInterval составляет 30 дней.
Когда install-adserviceaccount запускался как часть сценария развертывания, атрибуты pwdLastSet, msDS-ManagedPasswordId и msDS-ManagedPasswordPreviousId обновлялись, но затем пул приложений продолжал не запускаться, и мы видели обновление badPasswordTime при каждой попытке запуска. Проблема была устранена путем повторного запуска install-adserviceaccount, который предположительно получил правильный пароль из AD. Мы наблюдали такое поведение с несколькими учетными записями, в которых количество дней, когда он был впервые использован, превышал 30 дней. Мы не видели этой проблемы, если учетная запись использовалась в течение 30 дней с момента создания (более 150 учетных записей).
Другая переменная заключается в том, что мы выполняем развертывание в среде с балансировкой нагрузки, поэтому gMSA может быть установлен на нескольких серверах одновременно. Не все серверы имели проблемы с одним и тем же gMSA.
Нам не удалось воспроизвести эту проблему с помощью ручного тестирования, кроме запуска наших скриптов, поэтому мне интересно, есть ли состояние гонки между изменяемым паролем и паролем, полученным из активного каталога до полной синхронизации изменения. Есть ли способ проверить, так ли это?
Кто-нибудь еще сталкивался с таким поведением?
Все целевые серверы и контроллеры домена (5) работают под управлением Windows Server 2012 R2 и полностью исправлены. Функциональным уровнем домена также является Windows Server 2012 R2.